REPUBLICA DE COLOMBIA

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

RESOLUCIÓN NÚMERO 59001 DE 2020

VERSIÓN PÙBLICA
(24 SEPTIEMBRE 2020)

“Por la cual se impone una sanción administrativa y se imparten unas órdenes”

Radicación 19-47344

EL DIRECTOR DE INVESTIGACIÓN DE PROTECCIÓN DE

DATOS PERSONALES

En ejercicio de sus facultades legales, en especial las conferidas por los artículos 19 y 21 de la
Ley 1581 de 2012, y los numerales 5 y 9 del artículo 17 del Decreto 4886 de 2011 y

CONSIDERANDO

PRIMERO: Que, esta Superintendencia tuvo conocimiento de la presunta violación de las normas
de protección de datos personales contenidas en la Ley 1581 de 2012 por parte de la sociedad
SODIMAC COLOMBIA S.A, (en adelante “la investigada”), identificada con Nit. 800.242.106-2, por
lo que decidió iniciar investigación administrativa en consideración a los siguientes hechos,
narrados por el señor XXXXXXXXXXXXXXXXX1 identificado con la cédula de ciudadanía
XXXXXXXX:

1.1. Expuso el titular que, el día 23 de febrero de 2019 recibió en su correo electrónico, un mensaje
de la sociedad SODIMAC COLOMBIA S.A., a través de la dirección electrónica
"info@homecenter.co", en el cual le solicitaban su autorización para el tratamiento de sus
datos personales.

1.2. Aseguró que, dicho correo traía consigo la siguiente frase "Cuando no hago clic en la opción
'ACEPTO', autorizo a Sodimac Colombia S.A. como consta en el AVISO DE PRIVACIDAD expuesto
en cada una de las tiendas HOMECENTER y CONSTRUCTOR (...).", en virtud de lo anterior, el
Titular consideró que el modelo de autorización en mención llevaba a que, sin importar si el
destinatario respondía de forma afirmativa o negativa, este autorizaba a la sociedad para el
tratamiento de los datos personales de quien recibía el mensaje; motivo por el cual decidió
no otorgar su autorización.

1.3. Por lo anterior, remitió una petición al correo "servicioalcliente@homecenter.co", el día 24 de

febrero de 2019, en el cual le solicitaba a la sociedad SODIMAC COLOMBIA S.A., corregir
la inconsistencia en el correo enviado por la sociedad. Así mismo, hasta tanto no se realizará
dicha corrección, el Titular determinó que, "no autorizo de manera previa, expresa e inequívoca
que mis datos personales sean tratados (...) por Sodimac en ningún país ."

SEGUNDO: Que, con base en los hechos anotados, a partir de los cuales se advirtió la presunta
violación de las normas sobre protección de datos personales y, en particular, las disposiciones
contenidas en el literal b) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal c)
del artículo 4 y el artículo 9 de la misma ley, así como con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5
del Decreto único Reglamentario 1074 de 2015, el 29 de noviembre 2019 se inició la presente
investigación administrativa, mediante la expedición de la Resolución 684612 del 29 de noviembre
de 2019, por medio de la cual se formuló un CARGO ÚNICO a la sociedad SODIMAC COLOMBIA
S.A, identificada con Nit. 800.242.106-2.

TERCERO: Que la Resolución 68461 del 29 de noviembre de 2019 le fue notificada personalmente
a la sociedad SODIMAC COLOMBIA S.A. a través de su representante, el señor ALIRIO ANDRÉS
LIZARAZO NAVARRO, el 06 de diciembre de 2019, según consta en la certificación expedida por
la Secretaria General Ad-Hoc de esta Superintendencia radicada bajo el número 19-47344-12 del
12 diciembre de 2019.

1
Denuncia presentada por el titular de la información el 25 de febrero de 2019, visible en el expediente bajo el consecutivo n úmero 19-47344-0-0.
2
Resolución 68461 del 29 de noviembre de 2019 visible en el expediente bajo el número 19-47344-6-1.
 HOJA N 2
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

CUARTO: Que mediante escrito radicado bajo el número 19- 47344 -13 de fecha 23 de diciembre
2019, la sociedad SODIMAC COLOMBIA SA. presentó escrito de descargos, a través de su
apoderado general JUAN SEBASTIAN PACHON GUERRERO, manifestando, entre otras cosas,
lo siguiente:

4.1 En primer lugar, la sociedad investigada hace una breve descripción de los antecedentes de la
presente actuación administrativa, señalando que, “Los hechos que dan inicio a la presente
investigación se encuentran narrados tanto en la solicitud de información emanada de la Dirección de
Investigaciones, como en el escrito de respuesta a la misma del pasado veintidós (22) de mayo de 2019,
mediante el cual esta Sociedad dio respuesta a cada uno de los puntos que dio origen al requerimiento de
averiguación preliminar en la presente investigación.

En efecto, mediante el oficio 19-47344-4 proferido el 03 de mayo de 2019, la Entidad pidió a mi representada
que informara sobre algunas cuestiones relacionadas con el Sr. XXXXXXX, cliente de las tiendas
Homecenter de propiedad de Sodimac Colombia S.A. En tal pedido de información, el cual fue positivamente
resuelto, la Sociedad investigada presentó cada uno de los elementos en su poder para satisfacer el
requerimiento de la Autoridad.

Es así como, en la solicitud primera la SIC solicitó "Manifestar y acreditar cuál fue el mecanismo
implementado por Sodimac para la recolección de los datos personales del titular XXXXXX" a lo cual
SODIMAC respondió que "El 2 de noviembre de 2013 el cliente entregó de manera verbal y presencial al
asesor de Homecenter, sus datos personales para atender su pedido en uno de nuestros sistemas". Estos
datos fueron recolectados por SODIMAC con la finalidad de poder entregarle el producto a su domicilio.

Asimismo, en la solicitud segunda la SIC solicitó "Presentar la autorización expresa, previa e informada, del
titular XXXXXXX, para el tratamiento de sus datos personales", a lo cual SODIMAC emitió la última
autorización entregada por el cliente y que fue dada el 25 de febrero de 2019 por parte del señor
XXXXXXXXX.”

4.2 A continuación, indicó frente al cargo único formulado por este Despacho, en relación con el
deber de solicitar y conservar copia de la autorización, lo siguiente: “Ante este cargo se precisa que
no es cierto que no tuviéramos la autorización del cliente desde el 2 de noviembre de 2013, momento en el
que el señor XXXXXXXXX entregó de manera verbal y presencial al asesor de Homecenter, sus datos
personales para atender su pedido en uno de nuestros sistemas”.

Debido a que desde el primer ingreso de los datos del cliente (2 de noviembre de 2013), se contaban con
avisos de privacidad en las tiendas, los cuales tenían la finalidad que mediante el acto inequívoco que el
cliente entregara su autorización para el tratamiento de los datos personales, situación que así ocurrió con
el señor XXXXXXX.

Estos avisos de privacidad se encontraban para el 2 de noviembre de 2013 en la tienda Homecenter Avenida
68 Sur en la ciudad de Bogotá, como se evidencia en las siguientes imágenes:
 HOJA N 3
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
 HOJA N 4
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

Estas imágenes son obtenidas del documento titulado "7.1. Aviso de privacidad - HC AV. 68 Sur" mediante
el cual el Jefe de Prevención y Pérdidas del almacén Homecenter Av. 68 Sur declaró que, en dicho
establecimiento de comercio, para el día 27 de julio de 2011, se encontraban publicados los avisos de
privacidad.”

4.3 Igualmente, precisó que, “En ese sentido, se aclara que el inicio de la expedición del marco normativo
colombiano en Protección de datos, nos hemos propuesto liderar en forma decidida la implementación real
y efectiva de controles tendientes al aseguramiento de los datos que administramos.

Es así que hemos desarrollado medidas conducentes a salvaguardar la privacidad con la observancia de
buenas prácticas en el aseguramiento de la información. Uno de los vectores principales en este
aseguramiento, es la gestión del consentimiento de los distintos grupos de titulares de datos con los que
interactuamos. De esta forma nos hemos acogido en cuanto a buenas prácticas corporativas, a principios de
debida diligencia y responsabilidad demostrada por nuestra actividad en la administración de datos.

Frente al caso expuesto por la Superintendencia de Industria y Comercio, respecto a la autorización del Sr.
XXXXX, debemos aclarar de inmediato al despacho, que esta Sociedad que trata un número importante de
datos personales, dispuso distintos mecanismos para la recolección de autorizaciones en diversos formatos
transaccionales, así como avisos en habladores y tableros en tiendas dada la complejidad de nuestra
operación comercial.

Así las cosas, en su momento contábamos con mecanismos que hacen uso de los 3 medios para obtener el
consentimiento señalados en la Ley 1581 de 2012 y sus decretos, los cuales con el paso de los años han
venido robusteciéndose y variando para ajustarse a los avances tecnológicos y la realidad de negocio. De lo
anterior, se desprende que son varios los instrumentos que esta Sociedad ha implantado con el fin de solicitar
y conservar prueba de las autorizaciones entregadas por el titular de los datos.”

4.4 Se refirió a la aplicación de responsabilidad demostrada, así, “Con los nuevos desarrollos
reglamentarios y fruto del análisis de la Guía para la implementación del principio de responsabilidad
demostrada, en 2015 revisamos todos nuestros mecanismos de autorización pudiendo contemplar
oportunidades de mejoras de aquellos que en su momento tuvieron cuestionamientos internos, bien porque
no ofrecían el pleno de garantías o bien por buenas prácticas corporativas. De esta forma, uno de tales
mecanismos consistía en estos habladores ubicados en cajas y otros lugares como las áreas de
devoluciones o garantías donde era propicio la instalación de los mismos, ya que visualmente eran
accesibles por los titulares”.

Respecto de la obtención de la autorización del denunciante, manifestó que “Como venimos demostrando
en el curso de esta investigación el mecanismo especifico aplicable al caso del Sr. XXXXXX, fue el de
conducta inequívoca al entregar los datos para el despacho de pedidos de compras realizadas en tiendas.
Dicho instrumento se compone del Aviso o tablero que informa al titular las finalidades del tratamiento de
sus datos, así como los derechos que le asisten como titular, tal como lo señalan el marco normativo de
protección de datos. Es de esta forma, como desde el pasado 02 de noviembre de 2013, Sodimac cuenta
con la autorización mediante conducta inequívoca del Quejoso.

Como veníamos indicando, este mecanismo pretendió ser mejorado, con la introducción de un sistema que
permitiera dejar una prueba de su trazabilidad y evidencia a través del envío de un mensaje de correo
electrónico como mecanismo de validación de identidad y al mismo tiempo una acción positiva del titular al
aceptar mediante click en un botón enviado al correo del tratamiento de los datos.

Por lo anterior, debe percatarse la Superintendencia que contrario a lo que se expresa en el pliego de cargos,
efectivamente desde el año 2013 contamos con la autorización del titular para el uso de sus datos
personales. Así mismo, en un nuevo contacto en nuestra tienda, el pasado mes de febrero de 2019, y
nuevamente con su avenencia, se le solicito correo electrónico para enviarle un nuevo formato de
autorización, más expreso y especifico, que tenía por objeto corroborar las condiciones, finalidades y
transparencia en el uso de sus datos.”

4.5 Con respecto del principio de legalidad sostuvo que,“ (…)es preciso reiterar a la entidad que nuestro
escrito de respuesta al requerimiento de información solo se circunscribió a la pregunta de si se contaba con
la autorización por lo que se respondió que si desde el pasado 25 de Febrero de 2019; aunque se trata de
una afirmación valida, es parcialmente cierto, porque lo que debió indicarse que si bien se recogió una nueva
autorización del Sr. XXXXXXX, lo cierto es que también contábamos con su autorización como cliente desde
el año 2013.

Esto debe llevar a desestimar el cargo, toda vez que con los documentos que ahora aportamos, estamos
demostrando que el Sr. XXXXXXXXX, si nos había autorizado para el tratamiento de sus datos, desde al
menos noviembre de 2019. En particular, aportamos imágenes y constancia de fijación de nuestros avisos
 HOJA N 5
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

en tiendas físicas que demuestran que, en noviembre de 2013, fecha en la que se capturaron los datos del
Sr. XXXXXX en la tienda Homecenter Av 68 Sur de la ciudad de Bogotá, ya se contaban con los mecanismos
para dar noticia a los titulares del tratamiento de sus datos.

Con lo anterior, queremos aclarar que en la primera respuesta emitida a la SIC, no se hizo mención a la
publicación del aviso de privacidad físico implementado en el año 2013 ya que la pregunta establecida hacía
referencia solo a manifestar y acreditar cuál fue el mecanismo implementado por SODIMAC para la
recolección de los datos personales del Titular XXXXXXX, teniendo en cuenta lo anterior solo se emitió
respuesta a la pregunta escalada sin dar alcance a la publicación del aviso de privacidad físico implementado
en el año 2013, pero se aclara que si se cuenta con la misma.

En este sentido, rogamos le dé la valoración de rigor a los elementos probatorios que relacionamos con el
presente escrito de descargos.”

4.6 A continuación, retoma sus argumentos en punto del principio de Responsabilidad Demostrada,
indicando lo siguiente: “Desde la expedición de la Ley 1581 de 2012 y sus decretos reglamentarios la
empresa ha venido liderando la implementación de dicha normativa bajo los postulados del cumplimiento y
la generación de una cultura de privacidad al interior de la empresa. Desde el año 2013 con la expedición
del Decreto 1377 de 2013 - hoy contenido en el D.U 1074 de 2015-, la empresa adoptó una serie de Políticas
y procedimientos con el fin de generar una posición uniforme como empresa frente a los postulados de la
privacidad en su sector.

Lo anterior ha venido implementándose de forma gradual y permanente en la organización, al punto de que

se contrató una Consultoría especializada en el año 2015 con el fin de fortalecer e implementar el Programa
Integral de Protección de Datos de Sodimac.

Así las cosas, de conformidad con el Art. 26 del Decreto 1377 de 2013 (Hoy DU 1074 de 2015), pretendemos
demostrar a la SIC que las medidas adoptadas son apropiadas y efectivas en el tratamiento de datos
personales para una empresa del tamaño, sector y características de las de Sodimac Colombia S.A.

Medidas implementadas:

1.Adopción e implementación de una Política de protección de datos personales y un Procedimiento de

Protección de datos, la cual se encuentra publicada en el sitio www.homecenter.co (que allegamos y que en
su momento fueron aportados en el desarrollo de la investigación del radicado 14-166924).

2.Disposición, nombramiento formal e implementación del cargo de Oficial de Privacidad en la organización,

dependiente de la Gerencia de Tecnología. Entre sus funciones se encuentran las de dar trámite y establecer
la política de atención de los ejercicios de Derechos de los titulares de datos personales (anexo carta formal
de actualización del perfil del cargo).

3.Conformación dentro del comité de riesgos de la empresa de indicadores de gestión y seguimiento a la

Política integral de protección de datos de la empresa.

4.Ahora bien, Sodimac Colombia S.A., cuenta con políticas internas de seguridad y ha sido diligente al
adoptar e implementar su Política general de Seguridad de la Información, donde se incorporan estándares
y procedimientos para la seguridad y confidencialidad de la información.

(…)

5. Esta sociedad ha efectuado sensibilización tanto a clientes y terceros en nuestras tiendas, mediante avisos
de privacidad y video-grabación; así como comunicaciones internas para colaboradores resaltando la
importancia de la protección de datos personales, a título de ejemplo se anexan los correos electrónicos del
6 de septiembre de 2013 (Conoce nuestra nueva política de seguridad de la información), 23 de septiembre
de 2013 (Seguridad de la información, Ley 1581), 4 de noviembre de 2014 (Protección de Datos personales)
y 29 de marzo de 2016, recientemente hemos dictado otra charla el 04 de Septiembre de 2019 sobre el
tema.”

Además, entendiendo la importante (sic) de hacer más cercano el tema de Protección de Datos Personales
hacía(sic) los colaboradores, se desplegó la estrategia de comunicación interna "Protección de Datos para
Dummies", que en términos sencillos pretendía acercar al trabajador a la Protección de la información de
nuestros clientes, proveedores, contratistas y demás, y que también entendiese sus derechos como Titular
de sus Datos personales. A título de ejemplo, compartimos la entrega vía correo electrónico del 18 de
septiembre de 2013.

De conformidad con las anteriores explicaciones y la documentación de dichas medidas que aportamos con
el presente escrito como pruebas documentales, solicitamos en aplicación de los artículos 26 y 27 del
 HOJA N 6
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

Decreto 1377 de 2013, se declare que Sodimac Colombia S.A., ha cumplido, frente al caso particular, con
sus obligaciones en materia de protección de datos personales de acuerdo a la ley 1581 de 2012 y en
consecuencia se ordene exonerar de cualquier responsabilidad y consecuentemente se archive la presente
investigación.”

4.7 Concluyó su escrito, señalando que: “Por último, y corroborando lo hasta aquí expuesto, refiriéndonos
al numeral 2 del requerimiento de información remitido a Sodimac por la SIC, en los términos del artículo 9
de la Ley 1581 de 2012. ¿Cuenta con autorización expresa previa e informada del Titular
XXXXXXXXXXXXXXX, para el Tratamientos de sus datos personales? Para cual se emitió la última
autorización entregada por el cliente que fue dada el 25 de febrero del año 2019, pero esto no quiere decir
que antes de esa fecha SODIMAC no haya implementado mecanismos que permitan obtener la autorización
del cliente ya sea expresa o a través de mía acción positiva esto es mediante conducta inequívoca.

Por ello, solicitamos de manera enfática y respetuosa se archive la presente investigación, toda vez que la
motivación fáctica sustento de la misma debe armonizarse con la realidad procesal puesta en conocimiento
a través del presente escrito.”

QUINTO: Que mediante Resolución 8660 del 28 de febrero de 2020, esta Dirección incorporó las
pruebas obrantes en la totalidad del expediente radicado bajo el número 19-47344-14-1, folios 1 a
93, y rechazó la prueba solicitada por la sociedad SODIMAC COLOMBIA S.A. En el mismo acto
administrativo, se declaró agotada la etapa probatoria y se corrió traslado a la investigada para que
rindiera los alegatos de conclusión respectivos.

SEXTO: Que la Resolución 8660 de 28 de febrero de 2020 fue notificada personalmente a la

sociedad investigada el 28 de febrero de 2020, según consta en la certificación expedida por la
Secretaria General Ad-hoc de esta Superintendencia, radicada bajo el número 19-47344- -19 del
02 de abril de 2020.

SÉPTIMO: Que mediante escritos radicados bajo los números 19-047344-00017-0001 y 19-
047344-00018-0001 de fecha 12 de marzo de 2019, el apoderado de la sociedad investigada, doctor
JUAN SEBASTIAN PACHON GUERRERO, presentó alegatos de conclusión, en los cuales reiteró
lo expresado en sus descargos, adicionando lo siguiente:

(…)En este sentido, se precisa que esta segunda autorización se presentó en razón a que la compañía le
envió al cliente de manera preliminar un correo electrónico con el texto para obtener de manera expresa la
autorización del tratamiento de sus datos personales, para su aceptación o rechazo, ante la cual el cliente
decidió hacer una acción positiva haciendo clic en el botón "Aceptar" que fue enviado a su correo electrónico.

En ese sentido, fue a partir de un nuevo contacto que se tuvo con el cliente en nuestra tienda Calle 80 Bogotá
en el mes de febrero de 2019, que se le envió dicho correo electrónico con el nuevo texto de autorización de
la política de tratamiento de los datos personales de Sodimac Colombia S.A., la cual fue aceptada por el
cliente sin ningún tipo de advertencia o sugerencia en su momento.

Conforme a lo anterior, sea nuevamente la oportunidad de presentar el soporte que demuestra que el titular
realizó la acción positiva haciendo clic en el botón "Aceptar" del texto de autorización del tratamiento de los
datos personales de Sodimac Colombia S.A., la cual fue aceptada el día 25 de febrero de 2019. La imagen
es la siguiente:

En ese sentido, es de aclarar que siempre nos encontramos disponibles a escuchar a nuestros clientes ante
cualquier ajuste que ellos consideren necesario. Sin embargo, no se presentó queja alguna por parte del
señor XXXXX.
 HOJA N 7
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

En consecuencia, en la presente investigación administrativa se encuentra debidamente probado a partir de

los documentos que se aportaron con las autorizaciones emitidas por parte del cliente, que el Sr. XXXXX si
nos había autorizado para el tratamiento de sus datos personales, lo que permite desestimar el cargo único
impuesto en el este caso.”

OCTAVO: Competencia de la Superintendencia de Industria y Comercio

El artículo 19 de la Ley 1581 de 2012, establece la función de vigilancia que le corresponde a la

Superintendencia de Industria y Comercio para garantizar que en el tratamiento de datos personales
se respeten los principios, derechos, garantías y procedimientos previstos en la mencionada Ley.

NOVENO: Análisis del caso

9.1 Adecuación típica

La Corte Constitucional mediante sentencia C-748 de 20113, estableció lo siguiente en relación con
el principio de tipicidad en el derecho administrativo sancionatorio:
“En relación con el principio de tipicidad, encuentra la Sala que, pese a la generalidad de la ley, es
determinable la infracción administrativa en la medida en que se señala que la constituye el
incumplimiento de las disposiciones de la ley, esto es, en términos específicos, la regulación que
hacen los artículos 17 y 18 del proyecto de ley, en los que se señalan los deberes de los responsables
y encargados del tratamiento del dato”.

Atendiendo los parámetros señalados por la citada jurisprudencia, para el caso específico se tiene
que:

(i) El artículo 17 de la Ley 1581 de 2012 establece los deberes que les asisten a los
responsables del tratamiento respecto del manejo de los datos personales de los titulares.
El incumplimiento de tales requisitos dará lugar a la aplicación de las sanciones definidas
específicamente en el artículo 23 de la Ley 1581 de 2012.

(ii) De conformidad con los hechos alegados por los reclamantes y el acervo probatorio que obra
en el expediente, se puede establecer que la conducta desplegada por la investigada se
concreta en la posible vulneración del literal b) del artículo 17 de la Ley 1581 de 2012, en
concordancia con el literal c) del artículo 4 y el artículo 9 de la misma Ley, así como con los
artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único Reglamentario 1074 de 2015.

En ese orden de ideas, corresponde a este Despacho establecer si la conducta desplegada por la
investigada dará lugar o no a la imposición de una sanción, para lo cual se deberán tener en cuenta
los hechos narrados por el denunciante, las razones de hecho y de derecho aducidas por la
investigada en los escritos de descargos y los alegatos de conclusión, así como el conjunto de
pruebas allegadas al expediente.

9.2 Valoración probatoria y conclusiones

9.2.1 Respecto del deber solicitar y conservar autorización previa, expresa e informada del
titular para el tratamiento de sus datos personales

El artículo 15 de la Constitución Política establece que las personas, en desarrollo de sus derechos
a la autodeterminación informática y el principio de libertad, son quienes de forma expresa deben
autorizar que la información que sobre ellos sea recaudada pueda ser incluida en una base datos.

At respecto la Corte Constitucional mediante sentencia C- 748 de 2011, ha señalado lo siguiente:

"Principio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo,

expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin
previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir

voluntariamente si su información personal puede ser utilizada o no en bases de datos. También

3
Corte Constitucional, Magistrado Ponente Jorge Ignacio Pretelt Chaljub, seis (6) de octubre de dos mil once (2011).
 HOJA N 8
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

impide que la información ya registrada de un usuario, la cual ha sido obtenida con su

consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue
autorizado inicialmente.

El literal c) del Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la

protección del habeas data, sino que se encuentra en íntima relación con otros derechos
fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser
humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho
a determinar lo que podría denominarse su 'imagen informática".

Los principios rectores, además, deben confluir en cuanto a su aplicación con los deberes y
derechos contenidos en la Ley 1581 de 2012, específicamente en el presente caso, es relevante
mencionar los deberes que tienen los Responsables de garantizar al Titular, en todo tiempo, el
pleno y efectivo ejercicio del derecho de hábeas data.

Al respecto, la Corte Constitucional en la sentencia C-748 de 2011, mediante la cual realizó el

análisis constitucional de la Ley Estatutaria 1581 de 2012, manifestó:
"De conformidad con la jurisprudencia de esta Corporación, dentro de las prerrogativas -
contenidos mínimos- que se desprenden de este derecho encontramos por lo menos las
siguientes: (i) el derecho de las personas a conocer -acceso- la información que sobre ellas
están recogidas en bases de datos, lo que conlleva el acceso a las bases de datos donde
se encuentra dicha información; (ii) el derecho a incluir nuevos datos con el fin de se provea
una imagen completa del titular; (iii) el derecho a actualizar la información, es decir, a poner
al día el contenido de dichas bases de datos; (iv) el derecho a que la información contenida
en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad;
(v) el derecho a excluir información de una base de datos, bien por que se está haciendo
un uso indebido de ella, o por simple voluntad del titular-salvo las excepciones previstas en
la normativa."

A su turno Decreto Único Reglamentario 1074 de 2015 estableció en los Artículo

2.2.2.25.2.2 y 2.2.2.25.2.5 que: “El Responsable del Tratamiento deberá adoptar
procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos,
la autorización del Titular para el Tratamiento de los mismos e informarle los datos
personales que serán recolectados, así como todas las finalidades específicas del
Tratamiento para las cuales se obtiene el consentimiento.

Los datos personales que se encuentren en fuentes de acceso público, con independencia
del medio por el cual se tenga acceso. entendiéndose por tales aquellos datos o bases de
datos que se encuentren a disposición del público, pueden ser tratados por cualquier
persona siempre y cuando, por su naturaleza, sean datos públicos.

En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a

que se refiere a la sección 3 de este capítulo, referidos a la identificación del Responsable
y l a finalidad del Tratamiento de los datos personales, los cuales puedan afectar el
contenido de la autorización, el Responsable del Tratamiento debe comunicar estos
cambios al Titular antes de o a más tardar aI momento de implementar las nuevas políticas.
Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la
finalidad del Tratamiento." (Subrayado fuera de texto).

Artículo 2.2.2.25.2.5: "Los Responsables deberán conservar prueba de la autorización

otorgada por los Titulares de datos personales para el Tratamiento de los mismos.”

En el caso objeto de estudio, se encuentra que, el señor XXXXXXXXXXXX puso en conocimiento

de esta Superintendencia, a través de denuncia radicada bajo el número 19-47344-0-0 del 25 de
febrero de 2019, que, la sociedad SODIMAC S.A estaba incumpliendo presuntamente las normas
sobre protección de datos personales, manifestando lo siguiente:

(…) Quiero manifestar mi inconformidad por la inconsistencia que este correo enviado por Uds. solicitando
mi autorización para el tratamiento de mis datos personales.

En los siguientes dos apartados referidos a la acción de darle click al campo "Aceptar" en la parte inferior
del correo, ya sea que se haga click o no se haga el click, tienen la misma consecuencia: la autorización.
“Por ello cuando hago clic en la opción "ACEPTO", autorizo de manera previa, expresa e inequívoca que
mis datos personales sean tratados (recolectados, almacenados, usados, compartidos, procesados,
transmitidos, transferidos, suprimidos o actualizados) ... "
 HOJA N 9
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

"Cuando no hago clic en la opción "ACEPTO", autorizo a Sodimac Colombia S.A. como consta en el AVISO
DE PRIVACIDAD expuesto en cada una de las tiendas HOMECENTER y CONSTRUCTOR, de manera
previa, expresa e inequívoca para que mis datos personales sean tratados (recolectados, almacenados,
usados, compartidos, procesados, transmitidos, suprimidos o actualizados), ...”

Así mismo, el titular allegó a esta Superintendencia, copia del correo electrónico fechado al 23 de
febrero de 2019 y que le fuere enviado por la investigada, corroborándose lo manifestado por el
quejoso:

(…)

(…)

Ahora bien, con el propósito de contar con más elementos de juicio, la Coordinación del Grupo de
Trabajo de Investigaciones Administrativas de esta Dirección, requirió a la sociedad SODIMAC
S.A., mediante oficio radicado bajo el numero 19-47344-4-1 del 03 de mayo de 2019, con el
propósito de que informara, entre otras cosas, lo siguiente:

“(…)

En los términos del artículo 9 de la ley 1581 de 2012 ¿Cuenta con autorización expresa, previa e informada
del titular XXXXXXXXX, para el tratamiento de sus datos personales?

En caso de ser afirmativa su respuesta, remitir copia del formulario y/o formato mediante el cual se realiza
este procedimiento y se informa al titular la finalidad de la recolección y los derechos que le asisten por virtud
de la autorización otorgada.

(…)

En respuesta al citado requerimiento, la sociedad investigada, mediante escrito radicado bajo el

número 19-47344-5-1 del 22 de mayo de 2019, informó:
 HOJA N 10
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

“(…) Respuesta. De conformidad con lo indicado en el artículo 9 de la Ley 1581 de 2012, Sodimac Colombia
S.A. si cuenta con la autorización expresa del titular para el tratamiento de sus datos.

La aceptación expresa al tratamiento de datos por parte del cliente se presentó el 25 de febrero de 2019 a
través de correo electrónico. Como soporte de esta autorización se presenta la captura de pantalla con su
traza de log transaccional2, que contiene la autorización y el formulario por el que se captura la autorización.”

Expuesto lo anterior, es importante precisar que, de la información requerida por la superintendencia,

también se hace la solicitud de las finalidades de los tratamientos de datos recolectados por la compañía,
en este sentido se expone a continuación el texto con las finalidades de la recolección de tratamiento de
datos, el cual también se le da a conocer al consumidor previo a la aceptación del mismo. El texto es el
siguiente:
 HOJA N 11
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

De acuerdo con las imágenes aportadas por la investigada, en el curso de las actuaciones
preliminares adelantadas por esta Dirección, se encontró que la sociedad SODIMAC S.A. no
demostró haber conservado autorización previa y expresa del titular. En consecuencia, este
Despacho formuló cargos mediante la Resolución 68461 del 29 de noviembre de 2019, sustentada
en las siguientes consideraciones:

“LA INVESTIGADA, no demostró el haber conservado la autorización previa y expresa del Titular
solicitada, dado que la fecha del documento que aportó como autorización es posterior a cuando
indicó haber obtenido los datos personales del titular es decir el 2 de noviembre de 2013, y adicional
a ello se entiende que el correo de aceptación al que hace referencia la sociedad SODIMAC
COLOMBIA S.A., del 25 de febrero de 2019, es por el cual el Titular presentó una reclamación y, aún
más, en el que expresamente denegó la autorización al tratamiento de sus datos personales; solicitud
que fue atendida por la investigada mediante comunicación de 15 de marzo de 2019 señalándole al
Titular: "se realiza la revocación de sus datos personales para que no sean usados dentro de
SODIMAC COLOMBIA S.A".

En consecuencia, se tiene preliminarmente que el tratamiento de los datos personales del Titular
estaría realizando sin que la sociedad SODIMAC COLOMBIA S.A. haya solicitado o conservado la
autorización dada por el Titular para ello”

Al respecto, la investigada en su escrito de descargos, sustenta su defensa, afirmando que:

“Ante este cargo se precisa que no es cierto que no tuviéramos la autorización del cliente desde el 2 de
noviembre de 2013, momento en el que el señor XXXXXXXXXX entregó de manera verbal y presencial al
asesor de Homecenter, sus datos personales para atender su pedido en uno de nuestros sistemas”.

Debido a que desde el primer ingreso de los datos del cliente (2 de noviembre de 2013), se contaban con
avisos de privacidad en las tiendas, los cuales tenían la finalidad que mediante el acto inequívoco que el
cliente entregara su autorización para el tratamiento de los datos personales, situación que así ocurrió con
el señor XXXXXXXXXXXXX”.

A continuación, se presentan las imágenes de la comunicación en cita:

 HOJA N 12
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

De acuerdo con lo anterior, es pertinente aclarar que, para esta Dirección, de acuerdo con las
normas establecidas en el artículo 9 de la ley 1581 de 2012, no es admisible el argumento expuesto
por la sociedad investigada, en el sentido de sostener que el Titular otorgó la autorización para el
tratamiento de sus datos personales a través de una conducta que la sociedad considera
inequívoca, a partir de avisos de privacidad como lo manifiesta en sus descargos.
 HOJA N 13
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

En este punto, cobra especial relevancia, destacar que el Decreto Único Reglamentario 1074 de
2015 en el artículo 2.2.2.25.3.2 desarrolla el concepto de “Aviso de Privacidad” precisando que, en
caso de que no sea posible poner a disposición del Titular las Políticas de Tratamiento de la
información, los responsables puedan informar por medio dicho aviso acerca de la existencia de
tales políticas y la forma de acceder a las mismas de manera oportuna. De esa manera, queda
absolutamente clara la finalidad establecida por el Gobierno Nacional en relación con la
implementación del referido instrumento, que no es otro que poner en conocimiento de los
Titulares, la existencia de una Política de Tratamiento de Datos.

Para mayor ilustración, esta Superintendencia, a través de la cartilla “Formatos modelo para el
cumplimiento de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios”,
define el aviso de privacidad y señala el contenido mínimo del mismo, así:

“4.1. DEFINICIÓN Es una de las opciones de comunicación verbal o escrita que brinda la ley para
darle a conocer a los titulares de la información, la existencia y las formas de acceder a las políticas
de tratamiento de la información y el objetivo de su recolección y uso.

4.2. CONTENIDO MÍNIMO DEL AVISO DE PRIVACIDAD

Los avisos de privacidad deben contener como mínimo la siguiente información:

Nombre o razón social y datos de contacto del responsable del tratamiento.

La finalidad de la recolección de los datos y el tipo de tratamiento al que serán sometidos.

Los derechos que tiene el titular de la información.

Los mecanismos dispuestos por el responsable de los datos para que el titular conozca la política
y los cambios que se produzcan en ella o en el aviso de privacidad correspondiente.

En caso de que la organización o el responsable recolecte datos personales sensibles tales como
el origen racial o étnico, orientación sexual, filiación política o religiosa, etc.; debe explicarle al titular
de los datos el carácter sensible que posee este tipo de información y, además, debe darle la opción
de elegir si responde o brinda estos datos.

Precisado lo anterior y retomando el asunto bajo estudio, se observa que el Régimen General de
Protección de Datos contempló de manera expresa el deber que les asiste al Responsable del
Tratamiento previo a la recolección de los datos personales, de solicitar el consentimiento del
Titular, y que este pueda ser objeto de consulta posterior.

En igual sentido, es oportuno recordar que, el silencio, en ningún caso puede ser entendido como
el otorgamiento de la autorización, la cual, adicionalmente tiene componentes cualificados. Véase,
que debe ser previa, expresa e informada. Supuestos fácticos que no fueron acreditados en la
presenta investigación

Consecuentemente, en el caso bajo estudio, según los argumentos expuestos por la sociedad
investigada, respecto a que el titular otorgó su autorización para el tratamiento de la información a
través de una conducta tácita e inequívoca, no es de recibo para esta Dirección; en razón a que,
tal como lo menciona el fundamento legal, el silencio no puede ser asimilado a una conducta
inequívoca.

Sobre el particular la Corte constitucional en sentencia C – 748 de 2011, precisó:

“El consentimiento de titular de la información es un presupuesto para la legitimidad constitucional

de los procesos de administración de datos personales, tratándose de un consentimiento calificado:
ya que debe ser previo, esto es, que la autorización debe ser suministrada en una etapa anterior a
la incorporación del dato; expreso, en la medida que deber ser inequívoco: e informado: toda vez
que el titular no solo debe aceptar el tratamiento del dato, sino también tiene que estar plenamente
consciente de los efectos de su autorización”4

4 Corte Constitucional Sentencia C 748 del 6 de octubre de 2011 MP Jorge Ignacio Pretelt Chaljub.
 HOJA N 14
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

Ahora bien, frente al correo electrónico enviado el 23 de febrero de 2019 por parte de la sociedad
SODIMAC S.A. al Titular de la información, es importante resaltar que para dicha fecha, esa
sociedad no contaba con la autorización previa y expresa para dar tratamiento a los datos
personales del Titular; aunado al hecho de que el Titular manifestó que dicho correo no traía la
opción de aceptar o rechazar la autorización para el tratamiento; razón por la cual solicitó a la
sociedad investigada por vía electrónica, la corrección de la inconsistencia presentada y determinó
no autorizar el tratamiento de sus datos, solicitud que fue atendida por la sociedad el 15 de marzo
de 2019.

De acuerdo con los argumentos expuestos en líneas precedentes, encuentra este Despacho que,
contrario a lo señalado por la sociedad investigada, no se evidencia manifestación por el Titular de
la información dirigida a otorgar su consentimiento para el tratamiento de sus datos personales,
conforme a lo establecido en el literal b artículo 17 de la ley 1581 de 2012.

Respecto a los argumentos expuestos por la investigada en el curso de la presente actuación, es

imperioso recordar que en ningún caso puede confundirse el “aviso de privacidad” con la
autorización previa y expresa otorgada por parte del titular; dado que el aviso de privacidad tiene
una génesis y finalidad sustancialmente diferentes a las de la autorización para el tratamiento de
los datos personales, las cuales ya fueron suficientemente expuestas y explicadas.

De este modo, es evidente que la documentación allegada por la sociedad investigada en esta
instancia, así como las piezas probatorias recolectadas a lo largo de la investigación, no desvirtúan
el incumplimiento del Régimen General de Protección de Datos Personales, por parte de la
sociedad SODIMAC S.A., toda vez que esta no demostró haber obtenido la autorización previa,
expresa e informada para el tratamiento de los datos personales del señor
XXXXXXXXXXXXXXXXX, desde el día en que estos fueron recolectados, es decir, el 02 de
noviembre de 2013 pues, como se ha dicho los avisos de privacidad implementados de ninguna
manera suplen la autorización en los términos señalados en la Ley; y en consecuencia, desconoció
el deber que le asiste en su calidad de responsable del tratamiento contemplado en el literal b) del
artículo 17 de la Ley 1581 de 2012, en concordancia con el literal c) del artículo 4 y el artículo 9 de
la misma Ley, así como con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único
Reglamentario 1074 de 2015.

Por lo expuesto, se procederá a imponer la sanción de multa correspondiente a DOSCIENTOS

MILLONES CUATRO MIL QUINIENTOS DIECINUEVE PESOS M/CTE ($200.004.519), equivalente
a Cinco Mil Seiscientos Diecisiete (5.617) Unidades de Valor Tributario.

En el mismo sentido, se encuentra procedente impartir una orden a la sociedad SODIMAC SA

dirigida a que:

• Deberá cesar la utilización de “avisos de privacidad” como mecanismo para obtener la

autorización para el tratamiento de datos personales de los titulares.

• Así mismo, deberá proceder con la supresión de todos los datos personales, de los titulares
cuyo consentimiento haya obtenido mediante avisos de privacidad, conforme a lo expuesto
en la presente decisión.

De lo anteriormente ordenado, la sociedad SODIMAC SA deberá aportar una certificación expedida

por un auditor externo cualificado, dentro del término señalado en la parte resolutiva del presente
acto administrativo.

9.3 De la aplicación del principio de Responsabilidad Demostrada

En el escrito de descargos, la sociedad SODIMAC S.A, adicionalmente, hizo referencia a los

postulados de la Responsabilidad Demostrada, aseverando a ese respecto que ha venido
implementando y consolidando una serie de documentos para la acreditación de dicho principio,
hecho que, a su juicio, debe ser valorado por este Despacho como criterio para la imposición de
una sanción pecuniaria. Dicho Programa consta de los componentes que a continuación se citan 5:

(…)

5
Escrito de descargos bajo radicado número 19-047344-00013-0001 de fecha 23 de diciembre de 2019
 HOJA N 15
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

1.Adopción e implementación de una Política de protección de datos personales y un Procedimiento de

Protección de datos, la cual se encuentra publicada en el sitio www.homecenter.co (que allegamos y que en
su momento fueron aportados en el desarrollo de la investigación del radicado 14-166924).

2.Disposición, nombramiento formal e implementación del cargo de Oficial de Privacidad en la organización,

dependiente de la Gerencia de Tecnología. Entre sus funciones se encuentran las de dar trámite y establecer
la política de atención de los ejercicios de Derechos de los titulares de datos personales (anexo carta formal
de actualización del perfil del cargo).

3.Conformación dentro del comité de riesgos de la empresa de indicadores de gestión y seguimiento a la

Política integral de protección de datos de la empresa.

4.Ahora bien, Sodimac Colombia S.A., cuenta con políticas internas de seguridad y ha sido diligente al
adoptar e implementar su Política general de Seguridad de la Información, donde se incorporan estándares
y procedimientos para la seguridad y confidencialidad de la información.

De manera que, la compañía cuenta con un marco normativo organizado de la siguiente forma:

Donde la Política General de Seguridad de la Información está concebida tomando como práctica líder a la
norma ISO 27001 y cada una de las políticas de segundo nivel tomando como práctica líder la norma ISO
27002, en las que se cuentan:

- Seguridad Información para Gestión Humana Integral

- Gestión Comunicaciones y Operaciones

- Control de Acceso Lógico

- Adquisición, desarrollo y mantenimiento Sistemas de Información

- Administración de Incidentes

Como ya lo anunciábamos, esta sociedad cuenta con la Política de Tratamiento de Datos de cara al cliente
que se encuentra en la web: www.homecenter.com.co, enlace Privacidad y Seguridad, que además se
aporta con esta respuesta.

Adicional al marco normativo la compañía lleva un inventario de las bases de datos que almacenan datos
personales de clientes, colaboradores, terceros.”

Sin embargo, esta Superintendencia ha sido enfática en señalar que las disposiciones contenidas
en los artículos 2.2.2.25.6.1 y siguientes del Decreto 1074 de 2015, en relación con la adopción de
políticas y procedimientos efectivos para el adecuado cumplimiento de la Ley 1581 de 2012 implican
que concurran una serie de presupuestos que permitan evidenciar que los procedimientos
implementados, en la práctica son reales y efectivos.

Así, la regulación colombiana le impone al Responsable o al Encargado del tratamiento la

responsabilidad de garantizar la eficacia de los derechos del titular del dato, la cual no puede ser
simbólica ni formal, sino real y demostrable. Téngase presente que según nuestra jurisprudencia
"existe un deber constitucional de administrar correctamente y de proteger los archivos y bases de
datos que contengan información personal o socialmente relevante 6. Adicionalmente, los
Responsables o Encargados del tratamiento no son dueños de los datos personales que reposan
en sus bases de datos o archivos. En efecto, ellos son meros tenedores que están en el deber de
administrar de manera correcta, apropiada y acertada la información de las personas porque su
negligencia o dolo en esta materia afecta los derechos humanos de los titulares de los datos.

6
Cfr. Corte Constitucional, sentencia T-227 de 2003
 HOJA N 16
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

En virtud de lo anterior, el capítulo III del Decreto 1377 del 27 de junio de 2013 -incorporado en el
decreto 1074 de 2015- reglamenta algunos aspectos relacionados con el principio de
responsabilidad demostrada.

El artículo 267 -titulado DEMOSTRACIÓN- establece que "los responsables del tratamiento de
datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria
y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las
obligaciones establecidas en la Ley 1581 de 2012". Así, resulta imposible ignorar la forma en que
el responsable o encargado del tratamiento debe probar que pone en funcionamiento medidas
adecuadas, útiles y eficaces para cumplir la regulación. Es decir, se reivindica que un administrador
no puede utilizar cualquier tipo de políticas o herramientas para dicho efecto, sino solo aquellas
que tengas como propósito lograr que los postulados legales sean realidades verificables, y no
solo se limiten a creaciones teóricas e intelectuales.

Con el propósito de dar orientaciones sobre la materia, la Superintendencia de Industria y

Comercio expidió el 28 de mayo de 2015 la 'Guía para implementación del principio de
responsabilidad demostrada (accountability)"8.

El término 'accountability" a pesar de los diferentes significados ha sido entendido en el campo de

la protección de datos como el modo en que una organización debe cumplir (en la práctica) las
regulaciones sobre el tema, la manera en que debe demostrar que lo puesto en práctica es útil,
pertinente y eficiente.

Conforme con ese análisis, las recomendaciones que trae la guía a los obligados a cumplir la ley
1581 de 2012:

Diseñar y activar un programa integral de gestión de datos (en adelante PÍGDP). Esto, exige
compromisos y acciones concretas de los directivos de la organización. Igualmente requiere la
implementación de controles de diversa naturaleza. Desarrollar un plan de revisión, supervisión,
evaluación y control del PIGDP, y demostrar el debido cumplimiento de la regulación sobre
tratamiento de datos personales.

El principio de responsabilidad demostrada -accountability- demanda implementar acciones de

diversa naturaleza9 para garantizar el correcto cumplimiento de los deberes que imponen las
regulaciones sobre tratamiento de datos personales. El mismo, exige que los Responsables y
Encargados del tratamiento implementen medidas apropiadas, efectivas y verificables que le
permitan evidenciar la observancia de las normas sobre la materia. Dichas medidas deben ser
objeto de revisión y evaluación permanente para medir su nivel de eficacia y el grado de protección
de los datos personales.

El principio de responsabilidad precisa menos retórica y más acción en el cumplimiento de los

deberes que imponen las regulaciones sobre tratamiento de datos personales. Requiere apremiar
acciones concretas por parte de las organizaciones para garantizar el debido tratamiento de los
datos personales. El éxito del mismo dependerá del compromiso real de todos los miembros de
una organización. Especialmente, de los directivos de las organizaciones, pues, sin su apoyo
sincero y decidido cualquier esfuerzo será insuficiente para diseñar, llevar a cabo, revisar,
actualizar y/o evaluar los programas de gestión de datos.

7
El texto completo del artículo 36 del decreto 1377 de 2013 ordena lo siguiente: Articulo 25. Demostración. Los responsables del tratamiento de
datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medid as
apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional
a lo siguiente:
La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña,
mediana o eran empresa, de acuerdo con la normativa vigente.
La naturaleza de los datos personales objeto del tratamiento.
El tipo de Tratamiento.
Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.
En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables debería suministrar a esta una descripción de
tos procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta
información es recolectada y una explicación sobre tal relevancia de los datos personales en cada caso. En respuesta a un requerimiento de la
Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de tos datos personales deberán suministrar a esta evidencia sobre la
implementación efectiva de las medidas de seguridad apropiadas*
8
El texto de la guía puede consultarse en: https://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia-Accountability.pdf
9Estas medidas pueden ser de naturaleza administrativa, organizacional, estratégica, tecnológica, humanas y de gestión que Involucran procesas y
procedimientos
 HOJA N 17
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

Adicionalmente, el reto de las organizaciones frente al principio de responsabilidad demostrada va

mucho más allá de la mera expedición de documentos o redacción de políticas. Como se ha
manifestado, exige que se demuestre el cumplimiento real y efectivo en la práctica de sus funciones.

Precisado lo anterior, retomando el caso objeto de análisis, SODIMAC S.A asegura tener un
programa de Política de protección de datos personales y un Procedimiento de Protección de datos,
a través del cual garantiza una debida diligencia en el cumplimiento de las normas que gobiernan
la protección de datos.

Postura que no comparte esta Dirección por cuanto, contrario a lo señalado por la sociedad, queda
plenamente demostrado que, al 23 de febrero de 2019 la sociedad no había implementado las
medidas suficientes, útiles y efectivas relacionadas con el deber de obtener la autorización de los
datos de los Titulares cuya información administra. Prueba de ello, es el envío de la comunicación
en la fecha arriba citada, al correo electrónico del denunciante, sin mediar autorización para el
efecto, utilizando, además, un mecanismo absolutamente contrario a la ley, en tanto que el texto
de la misma señalaba: “Cuando no hago clic en la opción "ACEPTO", autorizo a Sodimac Colombia
S.A. como consta en el AVISO DE PRIVACIDAD expuesto en cada una de las tiendas HOMECENTER
y CONSTRUCTOR, de manera previa, expresa e inequívoca para que mis datos personales sean
tratados (recolectados, almacenados, usados, compartidos, procesados, transmitidos, suprimidos
o actualizados)." constituyéndose como un “consentimiento tácito”, conducta totalmente proscrita
por la ley y la jurisprudencia colombianas. En consecuencia, a juicio de la Dirección de
Investigación de Protección de Datos Personales, lo anterior significa que, toda la recolección, uso,
almacenamiento y circulación de la información a través de ese mecanismo es ilegítima.

Así pues, independientemente de que la sociedad cuente con una serie mecanismos
implementados, no acreditó, en lo corrido del trámite de la presente actuación administrativa, el
cumplimiento del deber establecido en la Ley Estatutaria en relación con los hechos materia de
investigación, pues como se ha expuesto, sus procedimientos y políticas internas no impidieron que
hiciera un tratamiento no autorizado de datos personales.

DÉCIMO: Imposición y graduación de la sanción

10.1 Facultad sancionatoria

La Ley 1581 de 2012 le confirió a la Superintendencia de Industria y Comercio una potestad

sancionatoria que se concreta en el artículo 23 de la Ley 1581 de 2012, el cual señala lo siguiente:

“ARTÍCULO 23. SANCIONES. La Superintendencia de Industria y Comercio podrá imponer a los

Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios
mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas
podrán ser sucesivas mientras subsista el incumplimiento que las originó;

Texto del Proyecto de Ley Anterior

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis
(6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar;

c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el
término de suspensión sin que se hubieren adoptado los correctivos ordenados por la
Superintendencia de Industria y Comercio;

d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles;

(…)”.

Por su parte, La Corte Constitucional a través de sentencia C-557 de 2000, señaló que la ley
aprobatoria del Plan Nacional de Desarrollo tiene la siguiente naturaleza:
“Partiendo de la concepción que entiende la planeación como el instrumento fundamental para
el manejo económico del Estado, y con base en lo dispuesto por el inciso tercero del artículo 341
de la Constitución Política según el cual “(e)l Plan Nacional de Inversiones se expedirá mediante
una ley que tendrá prelación sobre las demás leyes”, y que “sus mandatos constituirán
mecanismos idóneos para su ejecución y suplirán los existentes sin necesidad de la expedición
 HOJA N 18
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

de leyes posteriores”, la jurisprudencia ha destacado que la Ley del Plan de Desarrollo, que debe
expedirse en cada período presidencial, determina el contenido de las leyes anuales de
presupuesto, de otras leyes que tocan el tema económico, social o ambiental (…)”

El Plan Nacional de Desarrollo por ser una ley de iniciativa gubernamental y de un amplio consenso
tanto en la elaboración del proyecto de Ley como en su trámite legislativo- su cumplimiento debe
hacerse de manera inmediata por parte de todas las entidades de orden nacional 10. Su
cumplimiento se mide en la ejecución que se haga del Plan Nacional de Desarrollo dentro las
competencias que le sean propias a cada una de las entidades del orden nacional observando los
criterios de concurrencia, complementariedad y subsidiariedad.
En consecuencia, cualquier norma que se incluya dentro del Plan Nacional de Desarrollo debe ser
de obligatorio cumplimiento por las entidades que conforman la rama ejecutiva del nivel nacional a
través del respectivo plan de acción institucional como lo establece el inciso 1 del artículo 26 de la
ley 152 de 1994.
En ese orden de ideas, el artículo 49 de la Ley 1955 de 2019, mediante la cual se expide el Plan
Nacional de Desarrollo 2018-2022, establece lo siguiente:
ART. 49. —Cálculo de valores en UVT. A partir del 1º de enero de 2020, todos los cobros,
sanciones, multas, tasas, tarifas y estampillas, actualmente denominados y establecidos con
base en el salario mínimo mensual legal vigente, SMMLV, deberán ser calculados con base en
su equivalencia en términos de la unidad de valor tributario, UVT. En adelante, las
actualizaciones de estos valores también se harán con base en el valor de la UVT vigente.
PAR. —Los cobros, sanciones, multas, tasas, tarifas y estampillas, que se encuentren
ejecutoriados con anterioridad al 1º de enero de 2020 se mantendrán determinados en SMMLV.

De esta manera y de conformidad con la norma antes señalada, si el valor de los cobros, sanciones
o multas se encuentran establecidos en salarios mínimos, estos deberán ser calculados con base
en su equivalencia en términos de la unidad de valor tributario UVT. Por lo cual, las multas de
carácter personal e institucional dispuestas en la Ley 1581 de 2012, serán determinadas de la
siguiente manera:

Multa
en UVT

De otra parte, la ley 1581 de 2012 en su artículo 24 señala los criterios de graduación de las
sanciones de los cuales este Despacho entrará a determinar cuales se deben tener en cuenta en
caso concreto, así:

De otra parte, dentro del marco de la Ley 1581 de 2012, con relación a la imposición de la sanción,
el artículo 24 ibídem establece unos criterios de graduación que permiten garantizar el respeto de
las garantías del artículo 29 Constitucional11 y que, por lo tanto, esta Dirección deberá analizar para
el caso concreto y así determinar cuáles debe tener en cuenta. Esos criterios, según la sentencia
C-748 de 2012, hacen referencia a cinco circunstancias de agravación, entre los literales a) y e), y
a una circunstancia de atenuación o disminución de la sanción, correspondiente al literal f).

De igual forma, respecto a las sanciones que se imponen por la infracción al Régimen de Protección
de Datos, debe precisarse que conforme al principio de proporcionalidad que orienta el derecho
administrativo sancionador, esta Superintendencia debe ejercer su potestad sancionatoria de forma
razonable y proporcionada, de modo que logre el equilibrio entre la sanción y la finalidad que la
norma vulnerada que establezca, así como la proporcionalidad entre la gravedad de la infracción y
la sanción aplicada. Sobre la aplicación de este principio, la Corte Constitucional ha señalado:

“En cuanto al principio de proporcionalidad en materia sancionatoria administrativa, éste

exige que tanto la falta descrita como la sanción correspondiente a las mismas que resulten
adecuadas a los fines de la norma, esto es, a la realización de los principios que gobiernan
10
Las entidades territoriales tienen sus propios Planes de Desarrollo, artículos 31 y ss., de la Ley 152 de 1994. Sin perjuicio, a la participación que
éstas tienen en la elaboración del PND.
11
Artículo 29. El debido proceso se aplicará a toda clase de actuaciones judiciales y administrativas. (…) (negrita añadida)
 HOJA N 19
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

la función pública. Respecto de la sanción administrativa, la proporcionalidad implica también

que ella no resulte excesiva en rigidez frente a la gravedad de la conducta, ni tampoco
carente de importancia frente a esa misma gravedad” 12

Siendo así, para la correcta adecuación de los hechos y la sanción aplicable, el operador jurídico
en materia de protección de datos personales debe analizar todos los criterios de graduación del
artículo 24 de la Ley 1581 de 2012 con la finalidad de establecer cómo se aplican al caso concreto
y, de esa forma, seleccionar y graduar la sanción que se impondrá. Para esta finalidad, también se
pueden tener en cuenta para la dosificación de la sanción, el tamaño de la empresa, sus ingresos
operacionales, patrimonio y, en general, su información financiera, como también su rol dentro del
cumplimiento la Ley de habeas data financiero, de tal forma que la sanción resulte disuasoria más
no confiscatoria.

Es necesario precisar que las sanciones que se imponen dentro de procesos administrativos
sancionatorios no constituyen ninguna cuantificación de perjuicios materiales o morales, es decir
no se trata de la cuantificación de un daño subjetivo, como sucede en el régimen civil de
responsabilidad. Por el contrario, las sanciones que impone esta Superintendencia, en virtud del
artículo 23 y siguientes de la Ley 1581 de 2012, es una consecuencia negativa impuesta en contra
de la persona natural o jurídica que viole las disposiciones de la Ley 1581 de 2012. Esta
consecuencia negativa tiene como finalidad promover y garantizar el cumplimiento de la Ley de
habeas data financiero y, de esa forma, proteger el derecho fundamental a la protección de datos
personales, entre otros13.

La imposición de sanciones por violación de la Ley 1581 de 2012 tiene como fin central proteger y
promover el respeto del derecho fundamental a la protección de datos personales, derecho humano
(universal, inalienable, indivisible, irrenunciable e imprescriptible) que fue positivizado por el
Constituyente Primario en el artículo 15 de la Constitución de 1991, y que en muchas ocasiones es
conexo a otros derechos fundamentales de gran relevancia constitucional como la dignidad
humana, el buen nombre, la intimidad, etc.

Del mismo modo, la vulneración del derecho fundamental a la protección de datos personales no
solo afecta los derechos de una persona en particular, sino que pone en riesgo los derechos
fundamentales de toda la sociedad. Por eso, las sanciones de dichas conductas no pueden, ni
deben tratarse, como una cuestión insignificante o de poca monta. La transgresión flagrante a los
derechos humanos de un ciudadano es, por sí sólo, un hecho muy grave que no necesita de
forzosos razonamientos para evitar un desentendimiento de la importancia de lo sucedido.

Recuérdese que, según la Declaración Universal de los Derechos Humanos, “el desconocimiento y
el menosprecio de los derechos humanos han originado actos de barbarie ultrajantes para la
conciencia de la humanidad”14. Por eso, según dicho documento, se considera “esencial que los
derechos humanos sean protegidos por un régimen de Derecho”. No debe olvidarse que el respeto
de los derechos humanos es un elemento esencial de la democracia15.

Por otro lado, el artículo 24 de la Ley 1512 de 2012 indica los criterios a seguir para graduar las
sanciones en los siguientes términos:

“ARTÍCULO 24. CRITERIOS PARA GRADUAR LAS SANCIONES. Las sanciones por infracciones a las
que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en
cuanto resulten aplicables:

a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley;

b) El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de

la infracción;

12
Corte Constitucional, Sala Plena, C-125 del 18 de febrero de 2003, Magistrado Ponente Marco Gerardo Monroy Cabra.
13
Las sanciones impuestas en función del derecho administrativo sancionatorio pretenden asegurar el orden público y el correcto funcionamiento
de la administración. Al respecto ver: Corte Constitucional, Sala Plena, C-703 de 2010, Magistrado Ponente Gabriel Eduardo Mendoza,
Considerando 5; Corte Constitucional, Sala Plena, C-010-03, Magistrada Ponente Clara Inés Vargas.
14
Organización de las Naciones Unidas (1948). Declaración Universal de los Derechos Humanos
15
Artículo 3 de la Carta Democrática Interamericana la cual se puede consultar en:
http://www.oas.org/OASpage/esp/Documentos/Carta_Democratica.htm
 HOJA N 20
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

c) La reincidencia en la comisión de la infracción;

d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la

Superintendencia de Industria y Comercio;

e) La renuencia o desacato a cumplir las órdenes impartidas por la Superintendencia de

Industria y Comercio;

f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de

la infracción antes de la imposición de la sanción a que hubiere lugar.”

Por lo tanto, atendiendo dichos criterios, este Despacho entrará a determinar cuáles deberá tener
en cuenta en el caso en concreto, así:

10.1.1 La dimensión del daño o peligro a los intereses jurídicos tutelados por la ley

De la lectura de la norma citada, resulta claro que para que haya lugar a la imposición de una
sanción por parte de este Despacho, basta que la conducta desplegada por la investigada haya
puesto en peligro los intereses jurídicos tutelados por la Ley 1581 de 2012.

Respecto a las sanciones que se imponen por la infracción al Régimen de Protección de Datos,
debe precisarse que conforme al principio de proporcionalidad que orienta el derecho administrativo
sancionador, la autoridad administrativa debe ejercer su potestad sancionatoria en forma razonable
y proporcionada, de modo que logre el equilibrio entre la sanción y la finalidad de la norma que
establezca, así como la proporcionalidad entre el hecho constitutivo de la infracción y la sanción
aplicada. Sobre la aplicación de este principio, la Corte Constitucional ha señalado:

“En cuanto al principio de proporcionalidad en materia sancionatoria administrativa, éste exige

que tanto la falta descrita como la sanción correspondiente a las mismas que resulten
adecuadas a los fines de la norma, esto es, a la realización de los principios que gobiernan la
función pública. Respecto de la sanción administrativa, la proporcionalidad implica también que
ella no resulte excesiva en rigidez frente a la gravedad de la conducta, ni tampoco carente de
importancia frente a esa misma gravedad”16

De esta forma, para la correcta adecuación de los hechos y la sanción aplicable, el operador jurídico
en materia de protección de datos personales, debe en primera medida, analizar la dimensión del
daño o peligro a los intereses jurídicos tutelados, así como el posible beneficio económico, para
luego analizar otras circunstancias concurrentes de graduación, tales como la capacidad económica
del investigado, la reiteración de la infracción, colaboración del investigado para esclarecer los
hechos investigados17.

También se tendrán en cuenta para la dosificación de la sanción, el tamaño de la empresa, sus

ingresos operacionales, patrimonio y, en general, su información financiera, de tal forma que la
sanción resulte disuasoria más no confiscatoria. Así como, la conducta de la investigada durante el
trámite de la investigación administrativa.

16
Corte Constitucional, Sala Plena, Sentencia C-125 del 18 de febrero de 2003, Exp. Rad. D-4059, Magistrado Ponente
Dr. Marco Gerardo Monroy Cabra.
17
Ley 1581 de 2012 “Artículo 23. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del
Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas de carácter personal e institucional hasta
por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la
sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó; b) Suspensión de las
actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se
indicarán los correctivos que se deberán adoptar; c) Cierre temporal de las operaciones relacionadas con el Tratamiento
una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la
Superintendencia de Industria y Comercio; d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento
de datos sensibles; Parágrafo. Las sanciones indicadas en el presente artículo sólo aplican para las personas de
naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto
incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría
General de la Nación para que adelante la investigación respectiva.”
 HOJA N 21
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

En el caso sub-examine, quedó demostrado que la sociedad SODIMAC COLOMBIA S.A en su

calidad de responsable del tratamiento vulnero el precepto normativo dispuesto en el literal b) del
artículo 17 de la Ley 1581 de 2012, en concordancia con el literal c) del artículo 4 y el artículo 9 de
la misma Ley, así como con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único
Reglamentario 1074 de 2015, al no haber solicitado y conservado copia de la autorización previa,
expresa e informada para el tratamiento de datos personales del titular.

De acuerdo con lo anterior, es claro que la sociedad investigada vulneró los deberes que tiene los
responsables del tratamiento de datos personales, por tal razón se impondrá el monto de
DOSCIENTOS MILLONES CUATRO MIL QUINIENTOS DIECINUEVE PESOS M/CTE
($200.004.519), equivalente a Cinco Mil Seiscientos Diecisiete (5.617) en UVT Unidades de Valor
Tributario.

10.1.2 Otros criterios de graduación

Por último se aclara que los criterios de graduación de la sanción señalados en los literales b), c),
d) y e) del artículo 24 de la Ley 1581 de 2008 no serán tenidos en cuenta debido a que (i) dentro
de la investigación realizada no se encontró que la investigada hubiera obtenido beneficio
económico alguno por la comisión de la infracción, (ii) no hubo reincidencia en la comisión de la
infracción, (iii) no hubo resistencia u obstrucción a la acción investigativa de la Superintendencia y,
(iv) no hubo renuencia o desacato a cumplir las órdenes e instrucciones del Despacho.

El criterio de atenuación señalado en el literal f) del artículo citado no se aplica toda vez que la
investigada no reconoció o aceptó la comisión de las infracciones.

• La aplicación del Principio de Responsabilidad Demostrada no será tenida en cuenta como

criterio de disminución del monto de la sanción, teniendo en cuenta que la sociedad no
obtuvo de forma legítima la autorización para el tratamiento de los datos del titular, ya que
pretendía obtener su consentimiento utilizando un mecanismo absolutamente contrario a
la ley en tanto que el texto de la misma señalaba: “Cuando no hago clic en la opción
"ACEPTO", autorizo a Sodimac Colombia S.A. como consta en el AVISO DE PRIVACIDAD
expuesto en cada una de las tiendas HOMECENTER y CONSTRUCTOR, de manera previa,
expresa e inequívoca para que mis datos personales sean tratados (recolectados,
almacenados, usados, compartidos, procesados, transmitidos, suprimidos o actualizados)”
esta forma conocida como consentimiento tácito no está conforme con lo establecido en el
literal b) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal c) del artículo
4 y el artículo 9 de la misma Ley, así como con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del
Decreto Único Reglamentario 1074 de 2015.

DÉCIMO PRIMERO: En este orden de ideas, de acuerdo a los argumentos de hecho y de derecho
expuestos por la investigada en la respuesta al requerimiento de información, una vez analizadas
las pruebas obrantes en el expediente, y en virtud del literal e) del artículo 21 de la ley 1581 de
2012, mediante el cual se le asigna, entre otras funciones, esta superintendencia el “(...) impartir
instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los
responsables del tratamiento y encargados del tratamiento a las disipaciones previstas en la presente ley
(…)” esta instancia procederá a impartir las siguientes instrucciones:

• La sociedad SODIMAC S.A. deberá cesar la utilización de “avisos de privacidad” como

mecanismo para obtener la autorización para el tratamiento de datos personales de los
titulares.

• Así mismo, deberá proceder con la supresión de todos los datos personales, de los titulares
cuyo consentimiento haya obtenido mediante avisos de privacidad, conforme a lo expuesto
en la presente decisión.

De lo anteriormente ordenado, la sociedad SODIMAC S.A deberá aportar una certificación

expedida por un auditor externo cualificado, dentro del término señalado en la parte resolutiva del
presente acto administrativo.
 HOJA N 22
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

DÉCIMO SEGUNDO: CONCLUSIÓN

Se procederá a imponer una sanción por las siguientes razones:

• Se comprobó que la sociedad investigada infringió abiertamente las normas sobre protección
de datos personales consagradas el literal b) del artículo 17 de la Ley 1581 de 2012, en
concordancia con el literal c) del artículo 4 y el artículo 9 de la misma Ley, así como con los
artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único Reglamentario 1074 de 2015, en tanto,
no demostró por ningún medio que contaba con la autorización previa, expresa e informada
para el tratamiento de datos personales del denunciante

Así las cosas, una vez analizada toda la actuación administrativa, la información y documentos que
conforman el expediente, encuentra este Despacho procedente imponer a la sanción
correspondiente DOSCIENTOS MILLONES CUATRO MIL QUINIENTOS DIECINUEVE PESOS
M/CTE ($200.004.519), equivalente a Cinco Mil Seiscientos Diecisiete (5.617) en UVT Unidades de
Valor Tributario, por la violación el literal b) del artículo 17 de la Ley 1581 de 2012, en concordancia
con el literal c) del artículo 4 y el artículo 9 de la misma Ley, así como con los artículos 2.2.2.25.2.2
y 2.2.2.25.2.5 del Decreto único Reglamentario 1074 de 2015 a la sociedad SODIMAC COLOMBIA
S.A

En mérito de lo expuesto, este Despacho,

RESUELVE

ARTÍCULO PRIMERO: IMPONER una sanción pecuniaria a la sociedad SODIMAC COLOMBIA S.A
identificada con el Nit. 800.242.106-2 de expediente, encuentra este Despacho procedente imponer
a la sanción correspondiente DOSCIENTOS MILLONES CUATRO MIL QUINIENTOS
DIECINUEVE PESOS M/CTE ($200.004.519), equivalente a Cinco Mil Seiscientos Diecisiete
(5.617) en UVT Unidades de Valor Tributario, por violación a lo dispuesto en literal b) del artículo 17
de la Ley 1581 de 2012, en concordancia con el literal c) del artículo 4 y el artículo 9 de la misma
Ley, así como con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único Reglamentario 1074
de 2015.

PARÁGRAFO: El valor de la sanción pecuniaria que por esta resolución se impone, deberá
consignarse en efectivo o cheque de gerencia en el Banco Popular, Cuenta No. 050000249, a
nombre de Dirección del Tesoro Nacional – Fondos Comunes, Código Rentístico No. 350300, Nit.
899999090-2. El pago deberá efectuarse dentro de los cinco (5) días hábiles siguientes a la
ejecutoria de esta resolución y acreditarse en la ventanilla de Tesorería de esta Superintendencia
con el original de la consignación, donde le expedirán el recibo de caja aplicado a la resolución
sancionatoria. Vencido este plazo se cobrarán intereses por cada día de retraso, liquidados a la
tasa del 12% efectivo anual.

ARTÍCULO SEGUNDO: IMPARTIR las siguientes ordenes administrativas a la sociedad SODIMAC

COLOMBIA S.A así:

• Deberá cesar la utilización de “avisos de privacidad” como mecanismo para obtener la

autorización para el tratamiento de datos personales de los titulares.

• Deberá proceder con la supresión de todos los datos personales, de los titulares cuyo
consentimiento haya obtenido mediante avisos de privacidad, conforme a lo expuesto en la
presente decisión.

PARÁGRAFO PRIMERO: La sociedad SODIMAC S.A, identificada con el Nit. 800.242.106-2

deberá dar cumplimiento de lo ordenado dentro de los dos (2) meses siguientes a la ejecutoria del
presente acto administrativo.

Para ello deberá aportar una certificación de cumplimiento expedida por un auditor externo
cualificado.

PARÁGRAFO SEGUNDO: El incumplimiento de lo ordenado en el presente acto administrativo,

hará a la sociedad SODIMAC S.A, identificada con el Nit. 800.242.106-2, acreedora de las
 HOJA N 23
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

sanciones previstas en la ley.

ARTÍCULO TERCERO: Notificar personalmente el contenido de la presente resolución a la

sociedad SODIMAC COLOMBIA S.A identificada con el Nit. 800.242.106-2 a través de su
representante legal, en calidad de investigada, entregándole copia de la misma e informándole que
contra ella procede recurso de reposición, ante el Director de Investigación de Protección de Datos
Personales y de apelación ante el Superintendente Delegado para la Protección de Datos
Personales dentro de los diez (10) días siguientes a su notificación.

ARTÍCULO CUARTO: COMUNICAR el contenido de la presente decisión al señor

XXXXXXXXXX, identificado con C.C. XXXXXXXX.

NOTIFÍQUESE, COMUNÍQUESE Y CÚMPLASE

Dada en Bogotá, D.C., 24 SEPTIEMBRE 2020

El Director de Investigación de Protección de Datos Personales,

CARLOS ENRIQUE Firmado digitalmente por

CARLOS ENRIQUE SALAZAR

SALAZAR MUÑOZ MUÑOZ

Fecha: 2020.09.24 09:24:17 -05'00'

CARLOS ENRIQUE SALAZAR MUÑOZ

Proyectó: JMBG
Revisó: LMRZ
Aprobó: CESM
 HOJA N 24
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”

NOTIFICACIÓN:

Investigada:
Entidad: SODIMAC COLOMBIA S.A
Identificación: Nit.: 800.242.106-2
Representante Legal: MIGUEL PARDO BRIGARD
Identificación: C.C. No. 79.520.939
Dirección: CRA 68 D # 80 -70
Ciudad: Bogotá DC
Correo electrónico: notificacionesjudiciales@homecenter.co

Apoderado:

Doctor: JUAN SEBASTIAN PACHON GUERRERO

Identificación: 1021432245
Dirección: CRA 68 D # 80 -70
Ciudad: Bogotá DC

COMUNICACIÓN:
Señor: XXXXXXXXXX
Identificación: C.C. No. XXXXXXXX
Ciudad: XXXXX
Correo electrónico: XXXXXXXXX